Зашифровано [email protected]

[Nekhoch]

В общем словили эту заразу. Текстовое сообщение: еще не все потеряно, файлы можно вернуть! пиши на этот адрес!!! [email protected]. Сохранил скрипт с которого началось заражение архив ZPX993023L [удалено] больше 2,5 МБ. Содержимое папки C:\Program Files\ООО СЛУЖЕБНЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ. Был еще кусок заразы winrar.exe, сохранить не удалось. Еще по ссылке человек вроде делится лекарством https://yadi.sk/d/qq-1uN-dTff7S пароль: infected
Буду благодарен за любую помощь.

[Info_bot]

Уважаемый(ая) Nekhoch, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

1. Какой ID просят сообщить?

2. Логи с нескольких машин прикрепили?

[Nekhoch]

Приветствую.
1. ID никакого. Сообщение оригинал- "еще не все потеряно, файлы можно вернуть! пиши на этот адрес!!! [email protected]"
2. Да логи с 2-х машин подвергшихся заражению.

[thyrex]

Да логи с 2-х машин подвергшихся заражению.

Запустили на двух машинах?

В любом случае логи с разных машин - в отдельные темы. Причем логи выложите непереименованные, а в том виде, как они получаются согласно правил

ID никакого.

Такого быть не может

[Nekhoch]

Отредактировал сообщение. В аттаче оригинал текстового файла который лежал в автозагрузке. Про ID ничего не было сказано. Ссылка на скрипт еще нужна?

[thyrex]

Да, странно. Я уже проверил на виртуалке. Действительно нет ID

- - - Добавлено - - -

Боюсь, что и сам автор не сможет впоследствии это расшифровать

[Nekhoch]

Без ключа? В том то и дело что читал сообщения о том что деньги переводят, а дешифратора не получают.

[thyrex]

Ключ обычно идентифицируется по ID.

В том то и дело что читал сообщения о том что деньги переводят, а дешифратора не получают.

Решать, конечно, Вам. За последние пару дней у нас появилось уже 2 дешифратора для этой почты (один, кстати, благодаря Вашей ссылке на Яндекс-диск). Так что после оплаты вряд ли обманет автор

[Nekhoch]

Мне ждать от Вас каких то конкретных рекомендаций? Или под виртуалкой попробовать копии файлов дешифровать? Тут ситуация презабавная, шеф в командировке не знает о том что сотрудники напакостили, да еще сами себе. Кстати часть сетевого общедоступного хранилища частично зашифровано. В понедельник я не знаю что будет. Народ как обычно бэкапы не делал...

[thyrex]

Пересоздайте ярлыки запуска браузеров

Рекомендаций по дешифровке точно не будет. Нужен оригинальный дешифратор

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Иван\AppData\Local\Yandex\Updater2\BrowserManager.exe','');
 QuarantineFile('C:\Users\Иван\AppData\Local\winrar.exe','');
 DeleteFile('C:\Users\Иван\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 DeleteFile('C:\Users\Иван\AppData\Local\winrar.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Nekhoch]

Сделаю, но к сожалению завтра, логи выложу. Живу в Красноярске. Вы ни могли бы как то в ПМ или на почту скинуть другой вариант дешифратора. Буду пробовать, вариантов не много.

[thyrex]

И все-таки есть ID. Вам повезло и есть дешифратор

Информация

Внимание! Данный дешифратор предназначен только для пользователя Nekhoch
Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

Дешифратор

Принцип работы с дешифратором:

1. Ввиду медленной расшифровки файлов не пытайтесь скормить сразу слишком много файлов. Это создает эффект зависания программы, а на самом деле дешифровка идет. Скопируйте часть файлов в отдельную папку и расшифровывайте их.

2. Дешифратор создает две копии расшифрованных файлов:
А) в первом варианте дешифратор не меняет имя файла, но оставляет в конце файла мусор в виде информации, необходимой для расшифровки. В большинстве случаев такой файл успешно открывается
Исключение: файлы от Microsoft Office 2007, 2010 и некоторых других форматов - смотри п. Б

Б) во втором варианте дешифратор возвращает файл в первоначальное состояние до шифрования, но приписывает к имени файла дополнительно расширение .bak
Если это расширение удалить, то файлы, указанные в исключении п. А, тоже успешно открываются

[Nekhoch]

Вы однозначно волшебник! Буду пробовать о результатах обязательно отпишусь. Информация по скрипту, карантину, логам Вам понадобится?

[thyrex]

Информация по скрипту, карантину, логам Вам понадобится?

Конечно, скрипт выполните

Вы однозначно волшебник!

Все просто - на виртуалке наконец-то сменилась обоина на вирусную. Там и написан ID

[Nekhoch]

Сделаю обязательно!

[Nekhoch]

Дешифратор сработал на обеих машинах. Запустил скрипт, сделал обновленные логи. При просмотре карантина обнаружился только autorun от WS 2012 R2. Смысла высылать Вам его не вижу. Логи скину завтра, сил нет... Спасибо за помощь. Буду настаивать у начальства на "ковре" о помощи проекту!